Dennis Blair, Director de Inteligencia Nacional, llamó la atención de los medios recientemente con dos importantes encabezamientos cuando presentó su Informe Anual sobre Amenazas (Annual Threat Assessment) a la Comunidad de Inteligencia norteamericana. Primero fue su declaración respecto a que los Estados Unidos están “seriamente amenazados” por ciberataques de “una extraordinaria sofisticación”. Y después, afirmó que Al Qaeda está intentando atacar dentro de los Estados Unidos en los próximos seis meses. Estas dos afirmaciones dentro del informe presentado son escalofriantes, pero no están relacionadas entre sí.
Blair dijo que los Estados Unidos enfrentan desafíos en el ciberespacio originados por estados naciones, redes terroristas, grupos del crimen organizado, individuos y otros ciberactores. “Los grupos terroristas y sus simpatizantes han expresado su interés en usar los medios cibernéticos para atacar a los Estados Unidos y sus ciudadanos”.
Por suerte, el interés no es igual. Tras levantar el espectro del ciberterrorismo, Blair no mencionó la ciberamenaza de Al Qaeda en ninguna de las cinco páginas que le dedicó a sus planes de ataque a los Estados Unidos. Ahora veremos por qué.
Si bien la infraestructura crítica de los Estados Unidos, desde las redes eléctricas hasta el sector financiero, es vulnerable a un ataque a través del ciberespacio, Al Qaeda no tiene la capacidad y las motivaciones para explotar esta vulnerabilidad. Para penetrar, mapear y dañar las redes que controlan las base industrial, se necesita un gran equipo de hackers experimentados, un montón de tiempo y una infraestructura de avanzada. Solamente un puñado de grupos, en su mayoría estados naciones, posee este nivel de capacidad, y Al Qaeda no está entre ellos.
En los últimos diez años, según la “National Counterterrorism Center´s Worldwide Incidents Tracking Database”, se ha producido 63.192 incidentes terroristas. Ninguno correspondió al ciberterrorismo. Como lo señalaba Irving Lachow en NDU, la comunidad jihadista se basaba en gran medida en un hacker ubicado en Londres, conocido como “Irhabi 007”, quien a lo sumo tenía una capacidad moderada. Desde su arresto en el 2005, hay indicios de que las cibercapacidades de Al Qaeda solamente se han desgastado. Aunque Al Qaeda sigue basándose en los delitos de baja monta para financiar muchos de sus ataques, sigue siendo incapaz de capitalizar la explosión del delito cibernético, porque no tiene la capacidad técnica para hacerlo.
Para que Al Qaeda hiciera un daño real mediante ciberataques, necesitaría invertir varios años en el desarrollo de capacidades de ataque a través de la red, y necesitaría también instalaciones de seguridad y un banco de pruebas. Entender el software de control de una red eléctrica no es una técnica de fácil adquisición ni dominio. Una cosa es encontrar la forma de hackear una red para entrar en ella, y otra cosa, bastante distinta, es saber qué hacer cuando se está adentro.
Más allá de los obstáculos técnicos, el principal objetivo de Al Qaeda siempre ha sido generar una gran cantidad de víctimas, además de inflingir un daño económico. Pero los ciberataques son, en gran medida, armas de perturbación masiva, no de destrucción. Causar un apagón o destruir los sistemas de reservas de pasajes aéreos no mataría a demasiadas personas, si es que lo hace. El peor escenario posible sería que un ataque cibernético pudiera anular los controles en una planta química o nuclear, y causar así un escape químico o una fusión nuclear. Un incidente de este tipo podría matar a miles o millones de personas. Pero por suerte los sistemas de control de plantas que podrían causar semejante daño todavía están abiertos “en el aire”, desconectados de las redes que conectan a Internet.
En los intentos de ataque a la madre patria, la organización ha utilizado definitivamente medios de baja tecnología. De los veintidós ataques frustrados desde el 11-S, todos han implicado el uso de explosivos improvisados o armas pequeñas, y todos estaban destinados a causar la muerte de una gran cantidad de personas. En sus veinte años de existencia, Al Qaeda nunca llevó a cabo un ataque con la intención de provocar un daño económico sin causar también una gran cantidad de víctimas.
Las preocupaciones por el ciberterrorismo surgen del hecho de que Al Qaeda ha expresado su interés en devastar a la economía norteamericana, y que Bin Laden ha hablado de “desangrar a América hasta el punto de su bancarrota”. Pero el contexto de estas citas es importante, y no tiene nada que ver con las aspiraciones ciberterroristas. Bin Laden ha articulado el objetivo de forzar la retirada de las fuerzas estadounidenses del mundo musulmán incrementando los costos de estos despliegues, tanto política como económicamente, hasta el punto que ya no son más sostenibles. Para ello, Bin Laden toma prestado el rol de los muyahidines, que pusieron contra la pared a los soviéticos en Afganistán durante más de una década antes de obligarlos a retirarse y, en última instancia, el colapso de la Unión Soviética.
Por menos de $50.000 y usando cúters (o trinchetas) como arma primaria, Al Qaeda pudo fue capaz de crear una respuesta militar que hasta la fecha ha costado entre mil y dos mil quinientos millones. ¿Qué clase de resultados podría obtener Al Qaeda con el hackeo? Si Al Qaeda fuera capaz de causar un apagón hackeando los sistemas SCADA, no podrían hacer más que las tres ramas que causaron el apagón del Noreste en el año 2003. Aquel suceso dejó en la penumbra a unas 50 millones de personas en los Estados Unidos y Canadá durante casi cuatro días. Los economistas calcularon el costo de tal apagón entre los $4.5 y los $10 mil millones, un bache en una economía de $14.2 billones de dólares.
Una de las cosas que Estados Unidos aprendió acerca del costo de una perturbación en la economía, es que causa una molestia de corta duración y mínima. Una tormenta de nieve de dos días no elimina dos días de actividad económica, solamente la retrasa un poco. Lo mismo sucede con el cierre de puertos y otras actividades de interrupción de servicios.
Por ahora, Estados Unidos tiene poco que temerle a Al Qaeda en cuanto al frente cibernético. Solamente un puñado de naciones sofisticadas tienen, en la actualidad, la capacidad de llevar a cabo un ataque cibernético devastador. En su evaluación sobre el programa de Modernización del Ejército de Liberación del Pueblo, Blair señala brevemente que es cierto que las capacidades de China, Rusia, y otros países, suponen una verdadera amenaza. Afortunadamente, estos países también tienen sistemas vulnerables, tienen mucho que perder cualquier conflicto, cibernético o de cualquier otra clase.
La dependencia de Estados Unidos en la Internet, y la dependencia de los sistemas automáticos conectados a ella, representan una vulnerabilidad masiva, pero no es algo que las organizaciones terroristas puedan aprovechar en un corto plazo. Lo mismo que en cualquier tecnología en desarrollo, el costo y otras barreras en la ciberofensiva están disminuyendo año tras año.
Para mantenerse por encima de Al Qaeda y otros actores semejantes, Estados Unidos necesita realizar verdaderas inversiones para reforzar la seguridad de su infraestructura crítica, empezando con los sistemas gubernamentales y militares, pero extendiéndose además hacia el sector privado, en particular hacia las redes eléctricas y la comunidad financiera. Si una infraestructura puede convertirse en arma, no debería conectarse a Internet, al margen de las salvaguardas que puedan existir. Estados Unidos necesita seguir incrementando su defensa para asegurar que cualesquiera que fueran las capacidades terroristas que se desarrollen, no sean suficientes para dañar su libertad de acción en el exterior o su infraestructura interna.
Blair dijo que los Estados Unidos enfrentan desafíos en el ciberespacio originados por estados naciones, redes terroristas, grupos del crimen organizado, individuos y otros ciberactores. “Los grupos terroristas y sus simpatizantes han expresado su interés en usar los medios cibernéticos para atacar a los Estados Unidos y sus ciudadanos”.
Por suerte, el interés no es igual. Tras levantar el espectro del ciberterrorismo, Blair no mencionó la ciberamenaza de Al Qaeda en ninguna de las cinco páginas que le dedicó a sus planes de ataque a los Estados Unidos. Ahora veremos por qué.
Si bien la infraestructura crítica de los Estados Unidos, desde las redes eléctricas hasta el sector financiero, es vulnerable a un ataque a través del ciberespacio, Al Qaeda no tiene la capacidad y las motivaciones para explotar esta vulnerabilidad. Para penetrar, mapear y dañar las redes que controlan las base industrial, se necesita un gran equipo de hackers experimentados, un montón de tiempo y una infraestructura de avanzada. Solamente un puñado de grupos, en su mayoría estados naciones, posee este nivel de capacidad, y Al Qaeda no está entre ellos.
En los últimos diez años, según la “National Counterterrorism Center´s Worldwide Incidents Tracking Database”, se ha producido 63.192 incidentes terroristas. Ninguno correspondió al ciberterrorismo. Como lo señalaba Irving Lachow en NDU, la comunidad jihadista se basaba en gran medida en un hacker ubicado en Londres, conocido como “Irhabi 007”, quien a lo sumo tenía una capacidad moderada. Desde su arresto en el 2005, hay indicios de que las cibercapacidades de Al Qaeda solamente se han desgastado. Aunque Al Qaeda sigue basándose en los delitos de baja monta para financiar muchos de sus ataques, sigue siendo incapaz de capitalizar la explosión del delito cibernético, porque no tiene la capacidad técnica para hacerlo.
Para que Al Qaeda hiciera un daño real mediante ciberataques, necesitaría invertir varios años en el desarrollo de capacidades de ataque a través de la red, y necesitaría también instalaciones de seguridad y un banco de pruebas. Entender el software de control de una red eléctrica no es una técnica de fácil adquisición ni dominio. Una cosa es encontrar la forma de hackear una red para entrar en ella, y otra cosa, bastante distinta, es saber qué hacer cuando se está adentro.
Más allá de los obstáculos técnicos, el principal objetivo de Al Qaeda siempre ha sido generar una gran cantidad de víctimas, además de inflingir un daño económico. Pero los ciberataques son, en gran medida, armas de perturbación masiva, no de destrucción. Causar un apagón o destruir los sistemas de reservas de pasajes aéreos no mataría a demasiadas personas, si es que lo hace. El peor escenario posible sería que un ataque cibernético pudiera anular los controles en una planta química o nuclear, y causar así un escape químico o una fusión nuclear. Un incidente de este tipo podría matar a miles o millones de personas. Pero por suerte los sistemas de control de plantas que podrían causar semejante daño todavía están abiertos “en el aire”, desconectados de las redes que conectan a Internet.
En los intentos de ataque a la madre patria, la organización ha utilizado definitivamente medios de baja tecnología. De los veintidós ataques frustrados desde el 11-S, todos han implicado el uso de explosivos improvisados o armas pequeñas, y todos estaban destinados a causar la muerte de una gran cantidad de personas. En sus veinte años de existencia, Al Qaeda nunca llevó a cabo un ataque con la intención de provocar un daño económico sin causar también una gran cantidad de víctimas.
Las preocupaciones por el ciberterrorismo surgen del hecho de que Al Qaeda ha expresado su interés en devastar a la economía norteamericana, y que Bin Laden ha hablado de “desangrar a América hasta el punto de su bancarrota”. Pero el contexto de estas citas es importante, y no tiene nada que ver con las aspiraciones ciberterroristas. Bin Laden ha articulado el objetivo de forzar la retirada de las fuerzas estadounidenses del mundo musulmán incrementando los costos de estos despliegues, tanto política como económicamente, hasta el punto que ya no son más sostenibles. Para ello, Bin Laden toma prestado el rol de los muyahidines, que pusieron contra la pared a los soviéticos en Afganistán durante más de una década antes de obligarlos a retirarse y, en última instancia, el colapso de la Unión Soviética.
Por menos de $50.000 y usando cúters (o trinchetas) como arma primaria, Al Qaeda pudo fue capaz de crear una respuesta militar que hasta la fecha ha costado entre mil y dos mil quinientos millones. ¿Qué clase de resultados podría obtener Al Qaeda con el hackeo? Si Al Qaeda fuera capaz de causar un apagón hackeando los sistemas SCADA, no podrían hacer más que las tres ramas que causaron el apagón del Noreste en el año 2003. Aquel suceso dejó en la penumbra a unas 50 millones de personas en los Estados Unidos y Canadá durante casi cuatro días. Los economistas calcularon el costo de tal apagón entre los $4.5 y los $10 mil millones, un bache en una economía de $14.2 billones de dólares.
Una de las cosas que Estados Unidos aprendió acerca del costo de una perturbación en la economía, es que causa una molestia de corta duración y mínima. Una tormenta de nieve de dos días no elimina dos días de actividad económica, solamente la retrasa un poco. Lo mismo sucede con el cierre de puertos y otras actividades de interrupción de servicios.
Por ahora, Estados Unidos tiene poco que temerle a Al Qaeda en cuanto al frente cibernético. Solamente un puñado de naciones sofisticadas tienen, en la actualidad, la capacidad de llevar a cabo un ataque cibernético devastador. En su evaluación sobre el programa de Modernización del Ejército de Liberación del Pueblo, Blair señala brevemente que es cierto que las capacidades de China, Rusia, y otros países, suponen una verdadera amenaza. Afortunadamente, estos países también tienen sistemas vulnerables, tienen mucho que perder cualquier conflicto, cibernético o de cualquier otra clase.
La dependencia de Estados Unidos en la Internet, y la dependencia de los sistemas automáticos conectados a ella, representan una vulnerabilidad masiva, pero no es algo que las organizaciones terroristas puedan aprovechar en un corto plazo. Lo mismo que en cualquier tecnología en desarrollo, el costo y otras barreras en la ciberofensiva están disminuyendo año tras año.
Para mantenerse por encima de Al Qaeda y otros actores semejantes, Estados Unidos necesita realizar verdaderas inversiones para reforzar la seguridad de su infraestructura crítica, empezando con los sistemas gubernamentales y militares, pero extendiéndose además hacia el sector privado, en particular hacia las redes eléctricas y la comunidad financiera. Si una infraestructura puede convertirse en arma, no debería conectarse a Internet, al margen de las salvaguardas que puedan existir. Estados Unidos necesita seguir incrementando su defensa para asegurar que cualesquiera que fueran las capacidades terroristas que se desarrollen, no sean suficientes para dañar su libertad de acción en el exterior o su infraestructura interna.
Para ver el texto completo del Informe presentado por Dennis Blair: http://www.dni.gov/testimonies/20100202_testimony.pdf
Traducido de: Cyberterrorism Hype v. Fact . By: Robert K. Knake, International Affairs Fellow in Residence. February 16, 2010
véase el art. original en: http://www.cfr.org/publication/21434/cyberterrorism_hype_v_fact.html